Datenschutzkonforme Nutzung von Microsoft 365?
31. August 2021
Seit dem Schrems II – Urteil des EuGH vom 16.07.2020 haben Nutzer von Officeanwendungen in der der Cloud aus den USA, bspw. Microsoft 365, das Problem des nicht angemessenen Schutzniveaus (bspw. Forderungen von US-Behörden auf Herausgabe von Anwenderdaten, kein Rechtsschutz für Nichtamerikaner). Zumutbare Alternativangebote zur US-Cloudinfrastrukturen und Anwendungen sind in Europa noch nicht in Sicht.
Nun gibt es ein Angebot von T-Systems technisch den Zugriff von US-Behörden auf Microsoft 365 zu unterbinden. Der “Cloud Privacy Service” nutze hierfür einen verschlüsselten Gateway und kostet 3,99 EUR mehr je Nutzer und Monat (unter 250 Mitarbeiter) gegenüber dem üblichen Preis für Microsoft 365 und einmalige Einrichtungskosten von 4.999 EUR sind fällig. Die Webanwendungen von Office, Exchange, OneDrive werden dann in Rechenzentren von T-Systems betrieben. Microsoft erhält keine Klarnamen, da die Anmeldung über T-Systems pseudonymisiert erfolgt.
Der Gateway verschlüssele (AES 256) Daten, welche die T-Systems-Rechenzentren in Richtung Microsoft Server verlassen und entschlüsselt in umgekehrter Richtung, wenn bspw. ein anderer berechtigter Nutzer auf die Daten zugreifen möchte. Auf den T-Systems-Servern liegen weiterhin die unverschlüsselten Daten in der EU. US-Behörden haben “nur” Zugriff auf verschlüsselte bzw. chiffrierte Inhalte auf den Microsoftservern. Sie haben gegen T-Systems keinen Durchgriff.
Statt des Workarounds wären europäische Lösungen auf der ersten Ebene der Cloudinfrastruktur zielführender, aber das Angebot von T-Systems ist aus datenschutzrechtlicher Sicht besser, als Microsoft 365 direkt zu nutzen und sich Bußgeld- und Haftungsrisiken auszusetzen.
Thilo Zachow
Referent für Datenschutz beim vdw Sachsen
Rechtsanwalt
Fachanwalt für Informationstechnologierecht
Fachanwalt für Urheber- und Medienrecht
Datenschutzbeauftragter (TÜV zertifiziert)
Informationssicherheitsbeauftragter (bitkom zertifiziert)